Datenschutz-Tipp Nr. 5: Wie Sie eine Datenschutzerklärung schreiben – Anleitung und Muster

Datenschutz

Im letzten Tipp haben wir klären können, wann Sie eine Datenschutzerklärung auf Ihrer Internetseite bereitstellen müssen. Und wo Sie die Datenschutzhinweise platzieren sollten, auch dazu haben wir uns etwas erarbeitet. Soweit so gut. Ich denke, Sie werden ggf. Ihre Hausarbeiten jetzt schon im Eifer des vorauseilenden Gehorsams gemacht haben und haben geklärt, was Ihr Webserver dann so standardmäßig von den Besuchern der Internetseite in Protokolldateine (“Log-Files”) speichert. Nicht? Kein Problem…wir gehen das gleich noch einmal im Detail gemeinsam durch.

Eine Bitte: nehmen Sie sich ein klein wenig Zeit für den Text. Vielleicht lesen Sie ihn auch 2 Mal – insbesondere den ersten Teil. Danke!

Voraussetzung für die Erstellung von guten Datenschutzhinweisen ist zunächst eine ausreichende Tatsachengrundlage. Daran fehlt es in der Praxis gerne. Viele Unternehmen könnten soviel bessere Datenschutzerklärungen auf ihren Internetseiten haben, wenn die Mitarbeiter besser miteinander kommunizieren würden. So finden wir eher technisch formulierte Datenschutzhinweise, bei denen schnell deutlich wird, dass die Kollegen aus der technischen Abteilung / IT-Abteilung federführend gewesen sind. Und dann finden wir sehr viele Erklärungen, die – mit Verlaub – etwas weichgewaschen wirken. Da waren dann vielleicht die Kollegen aus der PR-Abteilung am Wirken, und das dürfen Sie nicht selten daran bemerken, dass die wesentlichen Detailinformationen (z.B. Technikdetails) erst gar nicht erwähnt werden.

Eine richtig runde Erklärung bekommen Sie nur dann hin, wenn Sie einerseits die erforderlichen technischen Basisinformationen kennen und andererseits in der Lage sind, in verständlicher Sprache die Informationen an den Mann oder die Frau zu bringen.

Sprache, insbesondere deutsche Sprache, verstehbar und verständlich so zu verwenden, dass beim Leser ein Gefühl von guter Informiertheit und besser noch Akzeptanz entsteht, das ist ganz große Kunst oder großes Kino. Natürlich gibt es Kollegen aus der IT-Abteilung, die das ganz hervorragend können; manchmal ist das aber bei Kollegen aus der PR-Abteilung besser aufgehoben. Meine Empfehlung ist auf jeden Fall, dass Sie aus den verschiedenen Disziplinen sich miteinander über das Thema unterhalten. Wenn Sie alle die jeweils anderen Informationen erkennen, verstehen und begreifen können, dann kann aus einer vermeintlich langweiligen Datenschutzerklärung etwas ganz Tolles werden – für Sie und die Leser. Machen Sie es doch einfach besser als die Konkurrenz. Schreiben Sie nicht nur irgendwo ab, sondern machen Sie es ganz neu, anders und individuell. So…dass es bei dem Leser hängen bleibt.

Apropos erkennen, verstehen, begreifen…bei Sprache dürfen Sie gerne die verschiedenen primären Sinne “Sehen”, “Hören” und “Fühlen” ansprechen. Denn in der Regel hat jeder Mensch einen Lieblings-Sinn, auf dem er vornehmlich empfänglich ist für Information. Schreiben Sie z.B. nur für einen visuell orientierten Menschen, dann wird dem eher auditiven Menschen möglicherweise etwas langweilig, und er bricht das Lesen einfach ab.

Wenn Sie jetzt denken, dass Ihnen das ganz egal ist, ob jemand die Datenschutzerklärung liest oder nicht, ist das Ihr gutes Recht. Das Gesetz fordert nicht, dass Sie eine tolle Datenschutzerklärung haben müssen. Sie muss lediglich allgemein verständlich sein.

Trotzdem erlaube ich mir einen – gänzlich unjuristischen – Tipp.In einer Datenschutz-Broschüre von mir hieß es einmal:

“If you go the extra mile, you will find, that the extra mile is seldom crowded.”

Denken Sie doch einfach daran, dass Sie auch in den kleinen Dingen Möglichkeiten haben, sich von den anderen Mitbewerbern positiv abzusetzen. Ich verspreche Ihnen, dass die Leser das bemerken werden, wenn auch nur unbewusst. Die wollen nicht das 125te Mal den Satz “Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen…blablablabla…” hören. Das können Sie besser.

Wichtig für eine gute Ansprache und Sprache ist natürlich, sich vorzustellen, wer die Erklärung klassischerweise wohl liest. Stellen Sie sich vor dem Verfassen des Textes einfach den typischen Besucher der Internetseite vor, den Sie gerne mit einer guten Erklärung positiv überraschen und beeindrucken wollen. Wenn Sie z.B. eine jugendliche Zielgruppe ansprechen, können Sie meiner Meinung nach am besten eine saloppe Sprache und Gelassenheit bei den Formulierungen an den Tag legen. Cool zu sein heißt nicht gleichzeitig unverbindlich oder nicht ernstnehmbar zu sein. Entscheidend ist, dass der Inhalt des Textes konsistent und konsequent beim Empfänger aufgenommen wird.

Wenn Sie sich über den Stil im Klaren sind, können Sie loslegen.

1. Aufgabe:
Besorgen Sie sich von der IT-Abteilung Informationen zu folgenden Themen:

  • Welche Daten speichert der Web-Server von Besuchern (bzw. Endgeräten von Besuchern) der Internetseite?
  • Wie lange werden die Daten gespeichert
  • Wofür werden die Daten verwendet?
  • Kommen Cookies zum Einsatz?
  • Wenn sog. persistente Cookies zum Einsatz kommen…wie lange ist die Lebensdauer des Cookies
  • Kommt ein Webtracking zum Einsatz? Wenn ja, welches Produkt wird eingesetzt?

Es würde den jetzt den Rahmen sprengen, hier alle Varianten von Webtracking zu berücksichtigen. Hier werden Sie selbst die besten Formulierungen finden können. Wir werden uns daher in der folgenden Mustererklärung an einem Beispiel orientieren, bei dem ein Webtracking-Tool zum Einsatz kommt, das auf eigenen Webservern betrieben wird und keine IP-Adressen speichert.

Fangen wir also an: Damit der Leser weiß, was der Text bzw. die Datenschutzerklärung soll (und nicht soll), macht es Sinn, kurz zu erläutern, warum Sie das tun und welche Informationen erteilt werden. Fangen Sie also an mit einer Begrüßung oder Einleitung:

Als Anbieter dieser Internetseiten sind wir gesetzlich verpflichtet, Sie über Zweck, Umfang und Art der der Erhebung und Verwendung Ihrer personenbezogenen Daten zu informieren. Damit Sie ein gutes Gefühl dafür bekommen, auf welche Art und Weise wir Daten erheben, verarbeiten und nutzen, möchten wir einen Überblick über Datenverarbeitung geben. Bei weiteren Fragen dürfen Sie sich selbstverständlich jederzeit gerne an uns wenden.

Sie sollten dann kurz darstellen, welche Daten denn überhaupt von Ihnen im Falle eines Besuchs erhoben werden. Dadurch wird dann auch gleich deutlich, dass Sie besser nachgedacht haben als viele Mitbewerber, die auf ihren Internetseiten seit Jahren davon ausgehen, dass eine Datenerhebung nur vorliegt, wenn der Nutzer selbst Daten eingibt (z.B. in ein Kontaktformular). Diesen Erkenntnisvorteil sollten Sie nicht unterschätzen 😉
Hier dürfen Sie dann die Informationen darstellen, die Sie von technischen Kollegen bekommen haben, die den Web-Server administrieren. Sie könnten also z.B. schreiben:

Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person.

Beim Besuch unserer Internetseite werden Daten erhoben, verarbeitet und genutzt, bei denen ein Personenbezug möglicherweise nicht immer ausgeschlossen werden kann. Damit die Seiten in Ihrem Browser dargestellt werden können, muss die IP-Adresse erhoben und gespeichert werden. In der Regel wird eine IP-Adresse derzeit durch Ihren Provider dynamisch vergeben. Diese Adresse wechselt meist regelmäßig, so dass wir selbst aus der IP-Adresse keinen Personenbezug herstellen können. In Einzelfällen (z.B. bei sog. statischen IP-Adressen) wäre jedoch in Einzelfällen ggf. die Herstellung eines Personenbezuges theoretisch denkbar. Als Anbieter haben wir jedoch kein Interesse an der Herstellung eines Personenbezuges und werden diesen auch grundsätzlich nicht vornehmen. Im einzelnen wird über jeden Abruf durch Ihr Endgerät (PC, Mobilfunktelefon etc.) folgender Datensatz gespeichert:

  • IP-Adresse des aufrufenden Endgeräts,
  • Betriebssystem des aufrufenden Endgeräts,
  • Browser Version des aufrufenden Endgeräts,
  • Name der abgerufenen Datei,
  • Datum und Uhrzeit des Abrufs,
  • übertragene Datenmenge,
  • Verweisende URL

Die gespeicherten Daten werden nur zu statistischen Zwecken und nicht zur Herstellung eines konkreten Personenbezuges ausgewertet. Die Daten werden ferner genutzt, um die Fehlerbeseitigung zu ermöglichen.

IP-Adressen werden unverzüglich, spätestens nach 72 Stunden gelöscht. Mit Löschung der IP-Adressen ist uns keinerlei Personenbezug mehr aus diesen Daten möglich.

Wichtiger Hinweis: Grundsätzlich dürfen Sie gar keine IP-Adressen über das Ende des Besuchs des jeweiligen Nutzers hinaus speichern. Auch nicht pauschal für “Sicherheitszwecke” wie man z.T. liest.

Wir Juristen streiten noch darüber, ob eine zeitweise Speicherung der IP-Adressen zur Missbrauchsbekämpfung (z.B. bei Hacking-/Cracking-Angriffen oder sog. Denial-of-Service-Attacken) in entsprechender Anwendung von § 100 des Telekommunikationsgesetzes (TKG) zulässig ist. Das LG Berlin hat dies in seinem Urteil vom 31.01.2013 (Az.: 57 S 87/08) konkret verneint. Das ist aber ein ziemlich komplexes Thema, mit dem ich Sie nicht belästigen möchte. Sie dürfen aber erfahren, dass sehr viele Aufsichtsbehörden durchaus damit leben können, wenn Sie IP-Adressen erst nach 72 Stunden löschen. Länger sollte es aber in der Regel nicht sein. Das ist eine Zeitspanne, die ausreicht, um einen wesentlichen Teil der Angriffe bekämpfen bzw. in Zukunft besser abwehren zu können.

Noch besser ist es natürlich, wenn Sie gar nicht erst IP-Adressen speichern oder diese anonymisieren, indem sie z.B. mindestens das letzte Oktett wegkürzen.

Nachdem wir über die wesentlichen technischen Datenverarbeitungen des Webservers informiert haben, müssen wir dann in jedem Fall noch über Cookies informieren, sofern diese zum Einsatz kommen. Hier steckt der Teufel häufig im Detail. Ganz wichtig ist jedoch ein juristisches Erfordernis: Da Cookies in der Regel (z.B. beim Webtracking) dazu dienen, Nutzungsprofile zu erstellen, muss dem Besucher der Website ein Widerspruchsrecht nach § 15 Abs. 3 TMG eingeräumt werden.

In der Praxis informieren zwar viele Unternehmen über Cookies und das die gar nicht schlimm sind (was häufig stimmt), es fehlt aber ganz häufig an einem korrekten Hinweis, den das Gesetz erfordert. Sie können ungefähr so über die Verwendung von Cookies informieren:

Diese Internetseite verwendet Cookies. Cookies sind kleine Textinformationen, die über Ihren Browser im Endgerät als Datei gespeichert werden. Cookies erlauben Nutzerinteraktionen und ermöglichen weitere Funktionen beim Besuch der Internetseiten.

So analysieren wir z.B. über Cookies, welche Seiten Nutzer besonders häufig aufgerufen werden, nach welchen Suchbegriffen gesucht wurden usw. (“Webtrackting”) Sie können die Analyse des Nutzungsverhaltens und den Gebrauch von Cookies unterbinden, wenn Sie in Ihrem Browser das Setzen von Cookies durch diese Domain (hier den Namen der Internetdomain eintragen) blockieren, indem Sie z.B. eine Ausnahme im Browser einrichten (so z.B. im Browser Firefox). Bitte sehen Sie bitte ggf. in der Programmhilfe nach, wie Sie das in Ihrem Browser einrichten können. Natürlich können Sie auch anlassbezogen im Einzelfall oder periodisch Cookies in Ihrem Browser löschen, um z.B. eine Analyse Ihres Nutzungsverhaltens zu unterbinden oder einzuschränken.

Denken Sie auch daran, dass Sie ggf. erweiterte Hinweispflichten zu Cookies in bestimmten EU-Mitgliedsstaaten haben, die die E-Privacy-Richtlinie der EU umgesetzt bzw. streng umgesetzt haben. Ebenso können Sie durch Nutzungsbedingungen von z.B. Google bei der Verwendung bestimmter Services vertraglich verpflichtet sein, auf Cookies über ein „Cookie Informations-Layer“ o.ä. in besonderer Weise hinzuweisen.

Wenn Sie darüber hinaus noch bestimmte Datenerhebungen auf Ihren Internetseiten ermöglichen, dann sollten Sie individuelle Hinweise zu den erhobenen Datenfeldern machen und darüber aufklären, ob und wann eine Weitergabe dieser Daten an Dritte erfolgt.

Wann Sie ggf. eine elektronische Einwilligung des Nutzers brauchen und wie Sie das praktisch umsetzen, damit werden wir uns in einem späteren Tipp beschäftigen.

Schreiben Sie aber bitte niemals so oder ähnlich: Mit dem Besuch der Internetseite willigen Sie in die beschriebene Art der Datenverarbeitung ein.

So eine Form der stillschweigenden Einwilligung gibt es in dieser Form im Datenschutzrecht nicht! Also lassen Sie solche Hinweise, sie sind höchst unprofessionell.

Was könnte noch in der Datenschutzerklärung stehen? Z.B. der Umgang mit Newslettern oder E-Mails. Zu E-Mails könnten Sie z.B. schreiben:

Wenn Sie uns eine E-Mail senden, wird diese von uns bis zur Erledigung Ihrer Anfrage bzw. bis zum Ablauf etwaiger gesetzlicher Aufbewahrungspflichten gespeichert. Wir tragen Sorge dafür, dass die Daten vor der unberechtigten Kenntnisnahme Dritter gesichert aufbewahrt werden.

Beachten Sie jedoch bitte, dass unverschlüsselte E-Mails, die über das Internet versendet werden, nicht hinreichend vor der unbefugten Kenntnisnahme durch Dritte geschützt sind. Sie können uns alternativ über unser gesichertes Kontaktformular (SSL-Standard) eine Nachricht zukommen lassen.

Der letzte Satz macht natürlich nur Sinn, wenn sie ein entsprechend gesichertes Kontaktformular anbieten. Bei der Verwendung von Kontaktformularen sollten Sie im Hinblick auf Datenschutzhinweise generell vorsichtig sein und hier immer konkret auf Zweck, Art und Umfang der Verarbeitung personenbezogener Daten hinweisen (vgl. OLG Köln, Urteil vom 11.03.2016, Az.: 6 U 121/15)

Ich hoffe, Sie sehen jetzt etwas klarer. Wenn Sie Interesse und Lust haben, eine komplette Datenschutzerklärung noch einmal zu lesen, dann probieren Sie es doch einmal mit meiner eigenen: https://www.datenschutz-guru.de/datenschutzhinweise/

Und denken Sie daran. Je individueller Sie es machen, umso besser. Seien Sie kreativ. In diesem Sinne…

Letzte Aktualisierung | letzter Aktualisierungscheck: 29.05.2016
Stephan Hansen-Oest

Ich bin Rechtsanwalt & Fachanwalt für IT-Recht. Auch wenn ich mich seit 1995 mit Datenschutzrecht beschäftige, bin ich sicher kein Datenschutz-Guru. Mein Ziel ist es, Menschen dabei zu helfen, den Datenschutz in Unternehmen einfach besser zu machen. Und ich freue mich über jeden, der meinen Newsletter abonniert. Wenn du unbedingt noch mehr zu mir wissen möchtest, kannst du dir mein Profil ansehen. Und wenn du Lust hast, am Datenschutz-Coaching teilzunehmen findest du hier mehr Informationen.